Unternehmen sind auf der Suche nach modernsten Technologien, um die steigenden Geschäftsanforderungen zu erfüllen. Aber mit dem Wachstum Ihres Unternehmens wächst auch seine Angriffsfläche. Es ist wichtig, potenzielle Schwachstellen zu verstehen - insbesondere solche, die mit Tier 0-Identitätswerten wie Active Directory zusammenhängen. Um solche Risiken zu erkennen, wenden sich viele Unternehmen an Lösungen für das Sicherheitsinformations- und Ereignis-Management (SIEM) oder die Sicherheitsorchestrierung, -automatisierung und -reaktion (SOAR). Aber wie gut sind SIEM und SOAR in der Lage, AD zu schützen?
Bedrohungsabwehr durch Protokollüberwachung
Cybersicherheit ist ein kontinuierlicher Prozess. Da ständig neue Angriffe auftauchen, müssen Sie Ihre Umgebung kontinuierlich auf Bedrohungen für die Vertraulichkeit, Integrität und Verfügbarkeit der Identitätswerte und Geschäftsabläufe Ihres Unternehmens überwachen. Die frühzeitige Erkennung von Bedrohungen ist von entscheidender Bedeutung, wenn Sie sie aufhalten und ihre finanziellen oder rufschädigenden Auswirkungen minimieren wollen.
Viele Unternehmen implementieren Lösungen, die Vorfälle auf der Grundlage von Sicherheitsprotokollen erkennen. Die Überwachung der massiven Protokollaktivität, die sich aus dieser Überwachung ergeben kann, kann jedoch eine mühsame Aufgabe sein. SIEM- und SOAR-Lösungen bieten automatische Antworten, die diese Aufgabe erleichtern.
Wie sich SIEM und SOAR unterscheiden
Auch wenn SIEM und SOAR in mancher Hinsicht ähnlich aussehen, gibt es doch einige Unterschiede zwischen diesen beiden Sicherheitstechnologien.
Was ist SIEM?
Unternehmen können SIEM nutzen, um Protokolle aus verschiedenen Quellen in Echtzeit zu sammeln, zu zentralisieren und zu speichern. Sie können diesen Ansatz nutzen, um verdächtige Aktivitäten zu überwachen und vergangene Ereignisse zu analysieren. SIEM kann Protokolle von Netzwerken, Systemen, Infrastrukturen, Anwendungen oder bestimmten Anlagen sammeln.
SIEM kann externe Bedrohungs-Feeds abrufen und mithilfe fortschrittlicher Analysen Sie über böswillige Ereignisse in Ihrer Umgebung informieren. SIEM entlastet Analysten, indem es einen Großteil der manuellen Arbeit übernimmt und eingehende Analysen durchführt, was durch die Möglichkeit der Zentralisierung von Überwachung, Protokollierung und Warnmeldungen ermöglicht wird. Auf der Grundlage von Ereigniskorrelationen bietet das Tool Einblick in die Protokolle Ihres gesamten Unternehmens und hilft Ihnen so, potenzielle Bedrohungen schneller zu entschärfen, als dies bei einer separaten Analyse dieser Protokolle möglich wäre. Beispielsweise werden Active Directory-Ereignisprotokolle auf jedem domain controller gehostet, sodass für einen ganzheitlichen Überblick über die Aktivitäten des Dienstes die Erfassung und Korrelation all dieser Protokolle erforderlich ist. Sie können zudem benutzerdefinierte Warnmeldungen und Dashboards erstellen, um Daten und Probleme einfacher zu überblicken.
Was ist SOAR?
SOAR unterstützt Unternehmen dabei, incident response auf der Grundlage generierter Warnmeldungen zu automatisieren. Darüber hinaus analysiert es Verhaltensmuster, liefert Prognosen und vereinheitlicht die Reaktionsmaßnahmen. Diese Lösungen können zur Fallbearbeitung eingesetzt werden und verfügen zudem über automatisierte Workflows und Playbooks.
SOAR bietet sowohl technische als auch organisatorische Vorteile. Dank seiner fortschrittlichen Automatisierung sparen Sicherheitsanalysten Zeit, da manuelle Arbeitsschritte reduziert und Ressourcen optimiert werden. SOAR kann zudem dazu beitragen, incident response zu verkürzen, was sich unmittelbar auf Produktivität und Effizienz auswirkt. Und die Fallmanagement-Funktion der Lösung ermöglicht Ihnen den Zugriff auf frühere Warnmeldungen zu Forschungszwecken, beispielsweise um unternehmensspezifische Muster und vergangene Ereignisse besser zu verstehen.
Was ist mit AD-basierten Angriffen?
Angesichts der weiten Verbreitung von Active Directory und der Kontrolle über Geräte und Benutzer ist es kein Wunder, dass Cyberkriminelle immer neue Wege finden, AD zu kompromittieren - und sich Zugang zu den Ressourcen von Unternehmen zu verschaffen. Deshalb ist es wichtig, die Arten von Angriffen zu verstehen, die auf AD abzielen, und zu wissen, wie SIEM und SOAR bei der Erkennung dieser Bedrohungen helfen können (und wie nicht).
Der Schutz und die Überwachung von Active Directory (AD) können aufgrund der sich ständig verändernden Bedrohungslage und der ausgefeilten Techniken und Taktiken, mit denen Hacker ihre Spuren verwischen, eine Herausforderung darstellen. Bei Angriffen auf Active Directory müssen Sie in erster Linie die Ereignisprotokolle domain controller DC) überwachen. Sie können SIEM-Lösungen einsetzen, um verdächtige Aktivitäten zu erkennen, doch seien Sie gewarnt: Einige der schädlichsten Angriffe auf Active Directory verwischen ihre Spuren, sodass sie sich vor SIEM-Lösungen ohne erweiterte Funktionen verbergen können.
- DCShadow: Diese Mimikatz-Funktion registriert kurzzeitig einen bösartigen DC, indem sie ein neues Serverobjekt in der Konfigurationspartition erstellt. Nach der Erstellung injiziert der neue DC Objekt- oder Attributaktualisierungen (z. B. fügt er die bekannte SID des Domänenadministrator-Kontos in das sIDHistory-Attribut ein, um die administrativen Rechte aufrechtzuerhalten) und entfernt sich dann sofort wieder. Da der Client des Bedrohungsakteurs zum Zeitpunkt der Aktualisierungen ein DC ist, werden die Änderungen nicht im Sicherheitsereignisprotokoll protokolliert, da es sich um eine normale DC-zu-DC-Replikation handelt. Wie die Schöpfer von DCShadow warnten, kann dieser Angriff "Ihr millionenschweres SIEM zum Erliegen bringen".
- Zerologon: Diese Sicherheitslücke (CVE-2020-1472) ermöglicht es einem nicht authentifizierten Benutzer mit Netzwerkzugriff auf einen domain controller Domänenadministratorrechte domain controller verschaffen und AD-Anmeldedaten abzugreifen. Da dieser Anmeldedatenspeicher auch das KRBTGT-Konto für die Domäne enthält, ist Zerologon zudem die Ursache für viele „Golden-Ticket“-Angriffe, bei denen dieses Konto genutzt wird.
- Angriff Policy : Bei diesem Angriff werden Policy geändert Policy zerstörerische Aktionen ausgeführt, beispielsweise die Installation von Ransomware auf Endgeräten. Leider lösen Policy keine Verdachtsmeldungen aus.
SIEM und SOAR Einschränkungen beim AD-Schutz
Die Protokollierung und Überwachung von Protokollen spielt eine wichtige Rolle bei der Erkennung von Bedrohungen und trägt dazu bei, die Sicherheitsstandards Ihres Unternehmens zu gewährleisten und aufrechtzuerhalten. Da jedoch nicht alle Angriffe auf Active Directory Protokollspuren hinterlassen, kann es ein riskantes Unterfangen sein, sich ausschließlich auf eine SIEM- oder SOAR-Lösung zu verlassen, um diese zu erkennen. Daher sollten Unternehmen ein Produkt in Betracht ziehen, das sich in SIEM integrieren lässt und mehrere Datenquellen überwacht – anstatt sich ausschließlich auf die Ereignisprotokolle domain controllerzu verlassen.
Wenn Cyberkriminelle auf AD abzielen, wenden sie verschiedene Taktiken an, um eine Entdeckung zu vermeiden. Da AD eine wichtige Rolle bei der Zugriffsverwaltung spielt, ist es wichtig, seine Integrität zu wahren und bösartige Änderungen sofort zu erkennen - auch solche, die eine Protokollierung vermeiden.
Gartners aktueller Bericht über Best Practices für das Identitäts- und Zugriffsmanagement (IAM), Implement IAM Best Practices on Your Active Directory, stellt fest, dass AD Threat Detection and Response (AD TDR)-Lösungen eine wichtige Funktion bei der Erkennung von und Reaktion auf Identitätsbedrohungen (ITDR) spielen und mit SIEM- und SOAR-Tools integriert werden können, um Bedrohungen zu identifizieren, die diese Tools nicht erkennen können.
AD-spezifische Überwachung für umfassenden Schutz
Durch die Überwachung und Bewertung mehrerer Datenquellen, einschließlich des AD-Replikationsstroms, um Bedrohungen zu erkennen, können Unternehmen Bedrohungen schnell erkennen. Wenn sie zusammen mit SIEM- oder SOAR-Lösungen implementiert werden, bieten für AD entwickelte Überwachungslösungen den tieferen Einblick, den Unternehmen benötigen.
Tools wie Purple Knight und Semperis Directory Services Protector (DSP) konzentrieren sich auf Active Directory-Sicherheitsindikatoren. Diese Expositionsindikatoren (IOEs ) oder Kompromittierungsindikatoren (IOCs) können Schwachstellen und Exploits aufdecken, die von gewöhnlichen SIEM- oder SOAR-Lösungen nicht erfasst werden. DSP bietet außerdem ein automatisches Rollback verdächtiger Aktivitäten, so dass Angriffe auch ohne menschliches Eingreifen abgewehrt werden können.
SIEM- und SOAR-Lösungen sind nützliche Werkzeuge. Aber in der heutigen Sicherheitslandschaft ist die beste Verteidigung ein mehrschichtiger Ansatz.
Mehr erfahren
